[Kenji Kamibayashi] [WP Security for beginner] [Genussmittel] [Only on Mikako-Life] [Date:201812]

[Warning：警告：警告] 1.本資料にある情報の全てにおいて、無償での利用のみ許可します。本資料にある情報の全てにおいて、無償での利用のみ許可します。 2.本資料にある内容を参考に広告掲載サイトでコンテンツ作成するのは良いですが、本資料にある内容を参考に広告掲載サイトでコンテンツ作成するのは良いですが、note、、DLMarketなどで対価（現金・などで対価（現金・PV稼ぎ含む）を求めて提供するような行為は禁止稼ぎ含む）を求めて提供するような行為は禁止します。本資料の配布場所は、掲載者サイトのみとし、それ以外の場所での配布は、作します。本資料の配布場所は、掲載者サイトのみとし、それ以外の場所での配布は、作成者が許可した場合を除き認めません。成者が許可した場合を除き認めません。 3.コピペも厳禁です。コピペも厳禁です。OCR、書籍での盗作など、広く監視しておりますので、悪用はせ、書籍での盗作など、広く監視しておりますので、悪用はせず、あなたのブログやサイト運営をより良くすることだけに利用して下さい。ず、あなたのブログやサイト運営をより良くすることだけに利用して下さい。 4.本資料は、セキュリティ意識を高めるのが目的で、個人ブロガーが自衛・自己防衛の本資料は、セキュリティ意識を高めるのが目的で、個人ブロガーが自衛・自己防衛のために活用することを前提に作成されています。ために活用することを前提に作成されています。 5.販売、二次悪用、作成者、掲載者、及び、その関係者全てに対する攻撃や誹謗中傷、販売、二次悪用、作成者、掲載者、及び、その関係者全てに対する攻撃や誹謗中傷、過度な称賛は絶対にしないで下さい。過度な称賛は絶対にしないで下さい。 6.本資料にある情報は、二次情報です。 終頁、本資料にある情報は、二次情報です。 終頁、[Links]にある公開情報を一次情報としにある公開情報を一次情報としておりますので、ソースを学びたい方はておりますので、ソースを学びたい方は[Links]をそれぞれの責任でリサーチして下さをそれぞれの責任でリサーチして下さい。い。 7.本資料にある情報を元にサイバー犯罪者が手口を巧妙化する可能性を考慮し、既に対本資料にある情報を元にサイバー犯罪者が手口を巧妙化する可能性を考慮し、既に対策を用意した上で情報提供をしています。間接的、直接的に、本資料を、暴力団、反社策を用意した上で情報提供をしています。間接的、直接的に、本資料を、暴力団、反社会的勢力、サイバー犯罪者、または、悪用を目論むものなど、いかなる形でも所持す会的勢力、サイバー犯罪者、または、悪用を目論むものなど、いかなる形でも所持する、共有、配布することを禁止いたします。見かけたら、それぞれに通報するなどの対る、共有、配布することを禁止いたします。見かけたら、それぞれに通報するなどの対策を取り、相互に協力して守るよう、よろしくお願いします。策を取り、相互に協力して守るよう、よろしくお願いします。 8.本資料にある情報、方法を参考にしてセキュリティ設定をして起こったトラブルにつ本資料にある情報、方法を参考にしてセキュリティ設定をして起こったトラブルについて、作成者、及び、掲載者では、その責任は負えませんので、ご了承下さい。攻撃者いて、作成者、及び、掲載者では、その責任は負えませんので、ご了承下さい。攻撃者の手法が変わったり、プラグインそのものに競合があったり、読者のの手法が変わったり、プラグインそのものに競合があったり、読者のCMS環境によっ環境によって競合が起きたりしてしまうことがありますので、自己責任の元、注意して設定などて競合が起きたりしてしまうことがありますので、自己責任の元、注意して設定など行って下さい。行って下さい。 9.本資料の作成者、及び、掲載者の素性、個人情報を調査・収集・許可なく接近する行本資料の作成者、及び、掲載者の素性、個人情報を調査・収集・許可なく接近する行為は一切禁止します。為は一切禁止します。 [Code:xuC9SFLV2gPzJKByuGVw7Fnc][For Wordpress Beginner]

[Warning：警告]

[頂いた質問への回答] 【なぜWordPressは攻撃を受けるのでしょうか？】

【Wordpressのシェアについて】 【攻撃をするハッカー？は何が目的なのでしょうか？】 【攻撃を受けたり乗っ取られると実際にどういう被害に遭うのでしょうか？】

[Links]

おまけ【WordpressのSecurity系プラグインの設定方法など】 紹介するプラグイン一覧 Akismet Anti-Spam Siteguard WP Plugin iTheme Security

セキュリティチェックはやらない グローバル設定 404の検出 禁止ユーザー ファイル変更の検出 ローカルのブルートフォース攻撃 ネットワーク・ブルートフォース保護 システムの微調整 Wordpressの微調整

Banhammer Edit Author Slug Check Copy Contents(CCC) WP Content Copy Protection & No Right Click

[頂いた質問への回答頂いた質問への回答]

【なぜWordPressは攻撃を受けるのでしょうか？】 インターネット上には、人間ではないサイバー攻撃を行うBot、不正アクセスをするBot、ウェブサイトの情報をかき集めるCrawlerやSpiderといったものもうろついています。基本的に、Crawlerなどはそこまで悪いことはしないですが、悪意を持ったものはWordpressサイトで想定している読者が訪れることのないページを訪れていき、Wordpressサイトにとっては何のメリットもないのでブロックしてしまって構いません。攻撃を受けているのは攻撃を受けているのはWordpressだけではありませんだけではありません。 全てのウェブサイト、ネットワークに繋がるシステムは、そうした目には見えないものとの接触が生まれる可能性が必ずあります。 Penyaで有名なinnovaのリサーチによると、CMSのうち約6割：60%をWordpressが占めているとのお話です。相対的に相対的にWordpressへの攻撃が目立つだけへの攻撃が目立つだけであって、Wordpressだけが狙われているわけではありません。 参考：https://innova-jp.com/cms-wordpress-share/ CMS：コンテンツ管理システム（Content Management System）

【【Wordpressのシェアについて】のシェアについて】

W3Techsによると、2017年の時点でWordpressのウェブ上でのシェアはウェブ上でのシェアは29%を超えていを超えているとのことるとのことですので、これも相対的にWordpressが多く攻撃を受けているように見える（母数が多ければ狙われる）だけです。 2018年年4月には月にはWordpressのシェアはのシェアは32%になっています。人気がある分、そりゃあ狙われますわ、という状況にあるだけです。 W3Techs：https://w3techs.com/technologies/history_overview/content_management/all Wordpressを選ぶ理由は、

● カスタマイズ性の高さカスタマイズ性の高さ ● SEO対策のしやすさ対策のしやすさ ● アクセス解析しやすいアクセス解析しやすい ● UX（ユーザーの利便性向上）対策のしやすさ（ユーザーの利便性向上）対策のしやすさ ● 広告の貼りやすさ広告の貼りやすさ ● なんかかっこいいなんかかっこいい ● アメブロっぽく投稿できるアメブロっぽく投稿できる

といったものかと思います。これに対し、脆弱性があるツールを使うのはおかしいんじゃないか、といった意見も出てくるようですが、どこの、どのシステムにも脆弱性はどこの、どのシステムにも脆弱性はあるあるため、結局は対策していたか、対策していなかったかによる所が大きいです。 人気がある分、脆弱性を見つけようとする悪い人も出てくるのは当然で、Facebookの個人情報漏洩や、SEOユーザーに人気のMierucaでの不正アクセス検知など、何を頼ろうが人気があるサービスを使っていれば狙われる時は狙われます。 攻撃パターンを知って事前に備えて、万が一攻撃があっても、セキュリティ設定を高め攻撃パターンを知って事前に備えて、万が一攻撃があっても、セキュリティ設定を高めておいて攻撃に少しでも早く気づき、それ以上攻撃させない、または、水際で食い止めておいて攻撃に少しでも早く気づき、それ以上攻撃させない、または、水際で食い止めるという意識が大切です。るという意識が大切です。

【攻撃をするハッカー？は何が目的なのでしょうか？】 サイバー攻撃を行う者にある程度の共通点があることがわかっています。

● 貧困層貧困層 ● サイコパスサイコパス ● 他者への妬みが強い他者への妬みが強い ● 負けず嫌い負けず嫌い ● 現状に著しく満足できていない現状に著しく満足できていない ● 自己評価が相対的に低い自己評価が相対的に低い ● 周囲の環境からの束縛が強い周囲の環境からの束縛が強い ● それしか仕事がないそれしか仕事がないorそれが仕事（特定の国・地域で検知）それが仕事（特定の国・地域で検知） ● 暴力団＆マフィアの資金源暴力団＆マフィアの資金源 ● ブラックな手法のブラックな手法のSEOが目的が目的 ● 上位表示組を蹴落としたい人上位表示組を蹴落としたい人 ● 若いプログラマーの遊び（たいてい引き抜く）若いプログラマーの遊び（たいてい引き抜く） ● IT特化しちゃった子ども（たいてい引き抜く）特化しちゃった子ども（たいてい引き抜く）

親から「お前が悪い・お前はできない子だ」と言われて育っている（倫理が迷子） 会社や地域社会か受けた苦痛への反撃などなど （犯罪プロファイリング） サイバー犯罪者からしたらどこからでも良いので情報を抜き、少しでも楽に、少しでも手間を掛けずに大金を稼ぎたいという「自分本位」の思いから、犯罪行為を行います。しかし、こうした方々は、ただ世の中に溶け込めていないだけ、稼ぐ力はあるのに、稼げる場所にマッチングしていないだけで、IT知識などは飛び抜けています。もとを辿れば、国、社会が悪いという場合もあり、貧困層がこの世界からなくならない限り、サイバー攻撃は消えない、と思ったほうが良いです。 CMS（Wordpress含む）を狙うのは、単純にそこにアクセスがあるからで、乗っ取り後に個人情報を抜けば、それがお金になって売れます。広告DMを送りたい会社など、リストを買う者がいるんです。 乗っ取ったサイトの広告を貼り替えれば、サイバー犯罪者の懐にお金が入ります。乗っ取ったサイトのすべての広告を貼り替えず、一部表示するとか、フィッシングのように偽のサイトを使えばサイバー犯罪者は何もしなくても（記事を書かなくても）広告を貼り替えるだけで利益が出てしまいます。これも、広告を貼って欲しい、広告のPVが上がればそれでいいという会社がいるためです。 これ以上、詳しい部分は公開できません。

【攻撃を受けたり乗っ取られると実際にどういう被害に遭うのでしょうか？】 乗っ取られたサイトにバイアグラやレビトラなどの広告が貼られる例が多いです。また、前述の通りこっそりと広告を貼り替えて長期間利益を吸い取るようなことをする例もあります。 ウェブサイトが真っ白になることもありますが、これは

● サイバー犯罪者のミス ● 悪質悪質SEO業者の仕業業者の仕業

のどちらかです。サイバー犯罪者にとって、ページを真っ白にしても何のメリットもありません。たいていは後者の悪質なSEOをしているものが、そういう攻撃を受け付けている人に依頼して（Torで確認できます）上位表示されているサイトの評価を落とそうとします。9割が後者です。 ページが真っ白になるのは、出力するコードの記載ミス、出力ミスや特定のファイルの削除などが原因です。サイバー攻撃者がファイルにアクセスした際に指示を間違えると、そのミスで真っ白にすることがあります。 乗っ取りにあったとき、Wordpressの機能に関係が深いSQLというデータベース管理をしているものも同時に被害にあうことが多いです。この場合、Wordpress本体が入っている「public_html」以下のWordpressだけを一新しても挙動が怪しくなります。 データベースにあたるSQLが汚染されているともうダメなので、MySQLも新しく作成して、新しいMySQL、新しいWordpress、もともとのドメイン、汚染されていないバックアップデータをセットで復旧するというのがよくある回復方法です。 どこのどこのCMSでも、どこのサービスでも脆弱性は存在します。でも、どこのサービスでも脆弱性は存在します。Wordpressに限った話ではに限った話ではありません。ありません。 使用している使用しているWordpress本体、使用しているプラグイン、本体、使用しているプラグイン、Windows10の更新、各種ブラの更新、各種ブラウザの更新、ウザの更新、Chromeの更新、セキュリティソフトの更新など、常に互換性、競合に注の更新、セキュリティソフトの更新など、常に互換性、競合に注意しながら 新の状態に保つようにしましょう。意しながら 新の状態に保つようにしましょう。

[Links] JP-Secure https://www.jp-secure.com/ iTheme https://ithemes.com/ FireEye https://www.fireeye.jp/ TrendMicro https://blog.trendmicro.co.jp/ Norton https://japan.norton.com/ JC3 https://www.jc3.or.jp/ US-CERT https://www.us-cert.gov/ NCFTA https://www.ncfta.net/ DISA https://disa.mil/About/Fact-Sheets IC3 https://www.ic3.gov/default.aspx DOD https://www.defense.gov/

おまけ【おまけ【WordpressののSecurity系プラグインの設定方法など】系プラグインの設定方法など】 ※作成者、および、掲載者はこれらプラグインとの利害関係は一切ありません。 ※ここで紹介するプラグインを使用する場合は、それぞれの環境に合わせて互換性や競合など、問題が起きないように自己責任で設定して下さい。 ※ここで紹介するプラグインは、Wordpress4.9.8、PHP7.0.30で動作確認済みです。 ※全部一気に入れているとPageSpeedInsightの評価スコアはよくて60になります。要は重くなりますので、それぞれの環境に合わせて工夫して下さい。（7日間連続午後10時に計測した平均）できる方はPHPやCSSなどを直接編集し、ご自身で対応して下さい。ここでは技術者への対応は致しません。

紹介するプラグイン一覧 Akismet Anti-Spam 作成者: Automattic https://akismet.com/ Siteguard WP Plugin 作成者: JP-Secure https://www.jp-secure.com/siteguard_wp_plugin_en/ iTheme Security 作成者: iThemes https://ja.wordpress.org/plugins/better-wp-security/ Slimstat（省略） 作成者: Jason Crouse https://wordpress.org/plugins/wp-slimstat/ Banhammer 作成者:Jeff Starr https://perishablepress.com/banhammer/ Edit Author Slug 作成者: Brandon Allen https://github.com/thebrandonallen/edit-author-slug/ Check Copy Contents(CCC) 作成者: Nakashima Masahiro https://github.com/kanakogi/CCC WP Content Copy Protection & No Right Click 作成者: wp-buy https://ja.wordpress.org/plugins/wp-content-copy-protector/

Akismet Anti-Spam

たいていデフォルトで 初から入っているスパムコメントを除外してくれるプラグインです。これは、メールアドレスで登録してアクティベートしないと機能しないので、有効化するだけではダメです。

メールアドレスで登録したらAPIキーを入力して、コメント機能などを使わない方は「自動的に削除」にしておいてよいかと思います。設定はそれぞれの環境に合わせて下さい。

Siteguard WP Plugin

こちらもだいたいの方が入れているプラグインです。ログインページへの攻撃や、ログインして乗っ取ろうとする攻撃、片っ端から自動化してパスワードを当てはめてログインしようとする攻撃などを防げます。

上記緑色のチェックが付くくらいに設定しておくとひとまずは対策できます。ログインページ変更でひと手間、画像認証でもひと手間、XMLRPCは無効にしてリスク回避など障壁を増やせば、それだけ万が一の攻撃時に早く気づけるようになります。

このプラグインでは非常に短期間でのログイン試行をロックすることができます。自動でやられるブルートフォースアタック（パスワードを片っ端から当てはめるやつ）への対策になります。不審なログイン試行があれば、しばらく気づけなくてもロックが掛かるため、攻撃者側はIPアドレスをいちいち偽装して実行しないといけなくなります。 近年は、1秒に1回のログイン試行を行うものではなく、1時間に1回ログイン試行をするようなゆっくりとした攻撃に切り替えて、ロックがかからないようにしてくる場合もあります。こうした攻撃はiTheme Securityで600分で、5回のログイン失敗をしたらロックするなどの対応で対処できます。 ただし、IPアドレスを変えられるとロックを掛けるトリガーが効かないため、IDが予測されていないかが大切です。ログインIDが全く別のもの、本物のログインIDでなければ、いくらログインしようとしても、パスワードが当たったとしてもログインできませんので、IDを隠す必要があります。 このID、ログインページはちょっとChromeの検証機能を使うだけで覗けてしまいますが、これを覗きに来た人はその場でアクセスログを記録して通報して構いません。いかなる理由があっても、やってはいけない行為です。技術者ならば誰でも？できてしまいますが、できるとオンラインで公言したということは攻撃者の可能性があると考えて構いません。危険はない人の方が多いですが、警戒するくらいでいいです。

ログイン試行してきた場合は、このように複数のログイン失敗履歴が残ります。ユーザーが複数いる場合は特に、画面前に常時待機するくらいのスタッフがいても良いです。

同一IPで攻撃してきたものが条件を満たすとロックが掛かります。ロックが掛かったユーザーはそれが解除されるか、プラグインを停止するまではログインできません。

こうした異変に早く気づき、攻撃元のIPが判明し、一定の国からのものであれば、一時的にその国ごとBANで良いです。IP偽装して攻撃してくるので、攻撃がなくなったらBANを外してあげて下さい。 また、IPアドレスIPV4の国ごとの割当は定期的に変更されます。一定の国をずっとBANしておきたい場合は、その割当変更の時期に合わせてリストを変更する必要があります。ユーザーエージェントやホスト、URLなどで除外するなど上げ始めればキリがないですが、とりあえず、Siteguardがあれば不審なログイン攻撃に早く気付けて、ログインできない状態をしばらく維持できます。 この間に、攻撃元を特定して、その攻撃元を叩く（通報、BAN、処断など）とかして自分のサイトと、訪問者、同一サーバー内のサイトを守りましょう。

iTheme Security

とてもクセのある優秀なプラグインです。個人的にはとても助かっています。設定項目は多いので、参考程度にしてみて下さい。 初期状態のままではテーマの編集ができなくなるように設定されていますので、以下を確認して設定を変えて下さい。 また、自分で加えた変更もファイルチェンジとしてアラート通知飛ばしてきちゃうので、一人で作業している時は、基本的に通知はOFFで大丈夫かと思います。 放置はせず、常時監視、少しでも早く気づいて、BANするのがセキュリティの仕事です。イタチごっこにもなりますので、ひどい攻撃の場合はプロに任せたほうが良いです。1日一回はSiteguardのログイン履歴を確認し、不審なアクセスがなかったか、確かめましょう。

右上のNotification Centerにて、サイトのロックアウト通知だけは通知を残しておいて下さい。それ以外の通知はちょっとうるさいのでOFFで良いです。

セキュリティチェックはやらないセキュリティチェックはやらない

左上にあるセキュリティチェックは、ウイルスチェックのスキャンのようなものとは違います。上記セキュリティチェックは、絶対に、絶対に押さないで下さい。押さなくても設定できます。 これを押すと、勝手にパスワードが強力なものに変えられてしまい、メモし忘れると自分もログインできなくなって詰みます。その場合はFTPから「Better WP Security（iTheme Security）」と「Siteguard」プラグインを削除し、ログインページの「パスワードを忘れた」からパスワードの再発行をしてログインし直すことになります。

グローバル設定グローバル設定

ファイルへの書き込みをiTheme Securityに許可します。これを許可しなければログイン情報の変更や「.htaccess」への追記はできません。 許可したらそのままで大丈夫です。HackRepairの情報を読み込んでユーザーエージェントをブロックしてくれます。禁止リストが出てきたらそれも自動でやってくれます。

ここはデフォルトでOKです。変えてもいいです。

こちらも画像のものがデフォルトだった気がします。このままで良いです。

自分をロックしないように、画像の青いボタンを押して、あなた自身のIPを追加しましょう。入れなくても大丈夫ですが、ページ編集の関係で404を大量に出しそうな時は自分の、その作業をする時のIPをホワイトリストに入れておかないと、管理者も除外してしまいます。

上記のような設定で大丈夫ですが、データ追跡を許可してもいいかもです。しなくてもいいです。

By default, iThemes Security will try to find the correct proxy header to use automatically. However, we highly recommend manually selecting the header your proxy service uses or disabling it completely if your website is not behind a proxy. Otherwise, IP detection might not be accurate, allowing attackers to bypass lockouts. デフォルトでは、iThemes Securityは自動的に使用する正しいプロキシヘッダーを見つけようとします。ただし、プロキシサービスが使用するヘッダーを手動で選択するか、Webサイトがプロキシの背後にない場合は完全に無効にすることを強くお勧めします。そうしないと、IP検出が正確でない可能性があり、攻撃者がロックアウトをバイパスできるようになります。

管理バーのセキュリティメニューを非表示にすることもできますが、個人で作業する方はチェックを入れる必要はありません。同時に何人も、顔も知らない人がログインしてきて作業するような場合は、技術者にちゃんと切り分けてもらうか、ここで非表示にすれば対処できます。

404の検出の検出

存在しないページにアクセスしてきた場合、そのページがアクセス禁止出ない場合は404エラーを返します。普通の読者はどう頑張っても404エラーページを何十回も踏むことはありません…よね？ 404エラーが一定数を超えたらそのアクセス元はあなたのサイトのURLに対してブルートフォースをしてきている可能性があり、弱点探しやサイトの全ページまるごとコピーなどを試している可能性もあります。 404エラーが一つのアクセス元から大量に発生する場合は、早めにロックしましょう。この「404の検出」を設定しておけば自動でロックされます。

デフォルトでは上記画像のようになっていますが、攻撃が激しい時や巧妙な時はそれに合わせて数値を厳しくして下さい。 初はデフォルトでもOKです。

ここはデフォルトのままでも大丈夫です。

禁止ユーザー禁止ユーザー

デフォルトのブラックリスト：HackRepairを有効のところにチェックを入れましょう。禁止したいホストがすでにある場合は、ここで先に設定してしまっても良いでしょう。

ユーザーエージェントとは、パソコンのブラウザ、クローラー、OSなどそのページにアクセスしてきている方法を指すと思っていて良いかと思います。既に禁止したいBotやクローラーがいる場合はここに、1行に1つずつ入力しましょう。

ファイル変更の検出ファイル変更の検出

初はいじらなくていいです。不正アクセスや攻撃を受けていると感じた、または、気

づいた時、攻撃者がどこに攻撃を仕掛けているか、何を触ったかが、これでわかります。分かるはずです。

このファイル変更検知は、自分の行った投稿、メディア追加なども検知して警告をいちいち表示しちゃいますので、この通知はOFFで大丈夫です。 設定ページの上にある青いボタン「今すぐファイルをスキャン」を押せば、その時点での変更履歴などがチェックできます。できるときだけ、手動でやるくらいで大丈夫かと思います。

ローカルのブルートフォース攻撃ローカルのブルートフォース攻撃

これは、ログインを試そうとするユーザーをロックする設定です。IDがバレてしまっている、既に攻撃を受けている場合はパスワードを厳重にして、ログイン試行回数を0にし、攻撃者にしばらくログイン試行させて泳がせて情報を取ります。 その後、収集して、特定に至った情報（アクセスログやユーザーエージェント、Slimstatなど）から攻撃元の共通点を見つけてアクセスを完全に遮断するなどの対応をします。

上記のものは、不正ログインを600分のうちに5回も試した場合は、そやつをロックアウトするというものです。 また、管理者自身のログインIDが「admin」以外になっている場合は「自動的にadminユーザーを禁止」にチェックを入れておくと、一発でロックしてくれます。

ネットワーク・ブルートフォース保護ネットワーク・ブルートフォース保護

メールアドレスで登録すると、APIキーを割り振られます。Wordpressに大規模に攻撃を受けている場合は、この機能が集合知のような働きをして、同様の攻撃から「iTheme Security」が入っているWordpressを守ってくれます。 手間になりますが、設定しておいて損はないです。

システムの微調整システムの微調整

「システムファイルの保護」と「ディレクトリの参照を無効」にチェックを入れましょう。

「不審なクエリ文字列をフィルタリング」と「長いURL文字列をフィルタリング」にもチェックを入れましょう。特段追加の編集をしない状態のサイトでは「ファイルへの書き込み権限を削除」にもチェックを入れておくとより安心です。

通常は、PHPを無効はいじらなくて大丈夫です。

こちらはチェックを入れた場合の設定例です。一応参考までに。

Wordpressの微調整の微調整

この部分の「ファイルエディタを無効にする」はデフォルトでチェックが入っているので、チェックを外しておきましょう。チェックが入っているとテーマの編集や変更ができなくなってしまいます。

Siteguardでも無効にしているので、こちらでは設定しなくても良いですが「XMLRPCを無効化」にしておいて下さい。

ここは、上記画像のような設定でひとまず問題ないかと思います。

この部分は、上記のように特にチェックを入れることはないと思います。やるとしたら「追加ユーザーのアーカイブを無効」にチェックを入れるくらいです。ここはしなくてもいいです。してもいいです。

Prevent attachment thumbnails from traversing to other files. Disabling this feature is not recommended. This helps mitigate an attack where users with the "author" role or higher could delete any file in your WordPress installation including sensitive files like wp-config.php. サムネイルの添付ファイルが他のファイルに移動しないようにする。 この機能を無効にすることはお勧めできません。これにより、「作成者」ロール以上のユーザーがwp-config.phpのような機密ファイルを含むWordPressインストール内のファイルを削除できる攻撃を緩和するのに役立ちます。

Banhammer

アクセスしてきた不審なユーザー、訪れてほしくない触っちゃいけないはずのページに来ているユーザーがいたら、これでワンクリックでBANできます。間違ってクリックすると、通常の読者もBANしてしまうので、取扱い注意です。普段、平和な時には使用しません。 サイトが重くなりすぎると感じる方は、サイトへの攻撃を検知していない時は、このプラグインは停止しておいて大丈夫です。Slimstatも同じです。攻撃を受けているとわかった時には、これらのプラグインを起動して、攻撃元の情報を集めて、除外しましょう。

「Ignore User」のチェックはデフォルトで入っていますが、複数の作業者がいる時にはチェックを外しておき、変なページに来たら一旦ロックするなどの対処が必要なときもあります。

設定は特にいじらないで大丈夫です。

この設定もいじらなくて大丈夫です。

画像が小さくて見にくいですが、ハンマーのマークをクリックすると、BAN完了です。

こちらのTowerはあまり使用しないと思いますので、何もしないでOKです。

Edit Author Slug

プラグイン有効化後、設定にてURLを変更します。

他サイトでも詳しく述べられていますので、割愛しますが、赤い矢印のところを 初のものと違うURLにすればひとまずOKです。個人ブロガーの場合は、他の部分でチェックを入れる必要はないです。

それぞれのユーザーページに行き「ニックネーム」を設定して下さい。このニックネームをブログ上の表示名に設定すれば、一つ壁ができます。

ユーザーページの投稿者スラッグを予測されにくいものやランダム文字列に変更しましょう。もちろん、投稿者ページのURLをおしゃれにしておきたい場合にもここで設定できます。

Check Copy Contents(CCC)

新のWordpressバージョンで未検証と、不安が残るプラグインですが、ひとまず、自

分のサイト内の記事がコピーされたことを検知して、指定したメールアドレスに通知してくれます。

プラグインの脆弱性で起こりうるとしたら、ここに入れるメールアドレスがバレるくらいかと思いますので、フリーメールを入れておくと良いかもしれません。 根本的に、ほかのプラグインを使用しても良いと思います。これに関してはセキュリティというより、コンテンツ管理なので、自己責任でお願いします。

WP Content Copy Protection & No Right Click

右クリックを無効にするプラグインです。ソースコードの全文表示、記事のコピーなどをさせてしまうのを防ぎます。

おそらく初期状態で全て「Enabled（有効）」になっていた気がします。こちら3つ、画像が小さくて申し訳ないですが、有効にしておきましょう。 ただし、画像配布サイトやプログラムコード配布を許可しているサイトでは、このプラグインはUX評価を下げます。記事メインで、読者が右クリックが必要なサイトなのかどうか、それぞれに考えて設定して下さい。 おまけ終わり。 お疲れ様でした( ´ ▽ ` )ﾉ それでは平和なブログライフを！